Inhaltsverzeichnis
Technischer Bericht
Version | Status | Datum | Autor:in | URL |
---|---|---|---|---|
0.1 | Erster Entwurf | 02.03.2023 | Flurin Pudil | |
0.2 | Ergänzungen | 04.09.2023 | Flurin Pudil | |
1.0 | Review und Freigabe | TT.MM.JJJJ | Vorname Nachname |
1. Kurzfassung
diese seite befasst sich mit dem einrichten von 802.1x auf zyxel switches mit Firmware V4.70(ABRT.5).
2. Hauptteil
Konfiguration Radius Server
Voraussetzungen
(Ich habe windows server 2022 Standard verwendet)
Netzwerkrichtlinienserver ist installiert Zertifizierungsstelle ist installiert
vorbereitung für swithces
Die Switches die 802.1x für die verteilung von VLANS verwenden sollen müssen unter RADIUS-Clients und -Server>RADIUS-Clients mit Bezeichnung, IP und Geheimen schlüssel eingetragen werden.
WICHTIG!!!: Der geheime Schlüssel wird bei der konfiguration der Switches gebraucht.
vorbereitung für Access Points
Die Access points (nicht der Unify Controller) die 802.1x für die verteilung von VLANS verwenden sollen müssen unter RADIUS-Clients und -Server>RADIUS-Clients mit Bezeichnung, IP und Geheimen schlüssel eingetragen werden.
WICHTIG!!!: Der geheime Schlüssel wird bei der konfiguration der AP's gebraucht.
Richtlinien Konfiguration
Alle folgenden Richtlinien sind Für LAN und WLAN gedacht
Verbindungsanforderungsrichtlinien:
Bei der erstellung dieser Richtlinie müssen nur der „Name“ der richtlinie und der „NAS-Porttyp“ definiert werden. Unter NAS-Porttyp verwenden wir für unseren Zweck „Drahtlos (IEEE 802.11)“, „Ethernet“ und „Drahtlos (Sonstige)“
Netzwerkrichtlinien:
Hier Konfigurieren wir welche Computer, Benutzer und Gruppen welches VLAN zugeteilt erhalten. Wichtig für uns sind die einstellungen:
- Richtlinienname
- NAS-Porttyp
- Windows-Gruppe
- Authentifizierungsmethode
Unter RADIUS-Attribute>Standard
- Termination-Action
- Tunnel-Medium-Type
- Tunnel-Pvt-Group-ID
- Tunnel-Type
Alle anderen einstellungen können auf Standard gelassen werden. Für uns gilt
Richtlinienname = Sinvollerweise der gruppe entsprechend für die das VLAN gesetzt werden soll
NAS-Porttyp = wie bei Verbindungsanforderungsrichtlinie definiert
Windows Gruppe = Domänengruppe für die das VLAN gestezt wird
Authentifizierungsmethode = Microsoft Geschütztes EAP (PEAP)
Termination-Action = RADIUS-Request
Tunnel-Medium-Type = 802 (includes all 802 media plus Ethernet canonical format)
Tunnel-Pvt-Group-ID = VLAn in welches die gewählte gruppe kommen soll
Tunnel-Type =Virtual LANs (VLAN)
Zyxel Dynamic VLAN mit 802.1x
Voraussetzungen
Radius fertig konfiguriert Dynamic VLAN Fähige switches
Clients (Supplicants) vorbereiten
Damit ein Windows Client sich über 802.1x anmelden kann müssen einige einstellungen vorgenommen werden.
als erstes muss der Dienst „Automatische Konfiguration (verkabelt)“ (Englisch: „Wired AutoConfig“) auf automatisch gestellt werden damit dieser beim starten des gerätes auch gestartet wird. Da der dienst noch nicht läuft kann man in auch gleich starten.
Nun muss man in die Netzwerkadabter einstellungen gelangen.
Hier muss man nun den gewünschten netzwerkadabter auswählen und die eigenschaften öffnen.
in den Eigenschaften sollte nun der Reiter „Authentifizierung“ erscheinen. Darin aktivieren wir nun die IEEE 802.1x Authentifizierung.
Damit die authentivizierung vor dem anmelden stattfindet muss nun unter den zusätzlichen einstellungen die option authentifizierungs methode angeben aktiviert werden und auf „benutzerauthentifizierung“ oder „benutzer- oder computerauthentifizierung“ gestellt werden. Ebenfalls muss Singlesignon für dieses Netzwerk aktiviert werden und „unmittelbar vor der benutzeranmeldung ausführen“ ausgewählt werden, dies armöglicht es dem gerät sich beim radius zu authentivizieren bevor ein loginversuch in der Domäne gestartet wird.
AAA
Unter AAA muss man den Radius server eintragen, über den die benutzer sich dann anmelden werden. Dazu verwendet man die IP des radius servers und den im Radius zufor eingetragenen geheimen schlüssel.
WICHTIG!!!: um diesen server eintragen zu können braucht man volle Admin-Rechte.
VLAN
Unter VLAN müssen die Vlans die auf dem gewünschten port verfügbar sein sollen auf Fixed untagged gestellt werden damit diese vom switch richtig verteilt werden können.
Port Authorization
Unter Port authorization>802.1x müssen nun die ports die über Radius gesteuert werden sollen aktiviert werdden. Auch muss man oben 802.1x insgesamt auf active stellen. nachdem dies gemacht worden ist kann man nun gast Vlans aktivieren.
Gast Vlans werden in dem Fall verwendet dass sich ein user mit credentials die unbekannt sind oder ganz ohne an den port anhängt. In unserem fall werden diese ins Vlan 23 geschickt.
Unify Dynamic VLAN mit 802.1x
Voraussetzungen
3. Quellenverzeichnis
Alle im Bericht verwendeten Quellen sind angegeben.